Sind Menschen das Problem bei InfoSec?
Sie haben es im Laufe der Jahre wahrscheinlich schon gehört: Der Mensch ist das schwächste Glied in der Sicherheitskette. Unzählige Artikel geben den Menschen die Schuld dafür, dass sie in einer Zeit, in der wir auf alles klicken, auf Dinge klicken. Wir verfügen jetzt über dieses Tool, bei dem das gesamte System auf dem Anklicken von Links basiert. Es ist sogar Teil des alltäglichen Bürovokabulars: „… lass uns da kurz doppelklicken.“ Natürlich machen Menschen im Bereich der Informationssicherheit oft dämliche Dinge, wie etwa, dass sie ihren Laptop im unverschlossenen Auto liegen lassen, ihre Passwörter auf Klebezetteln am Computer anbringen oder auf eine emotional aufgeladene E-Mail mit der Bitte um Hilfe hereinfallen.
Irren ist menschlich und uns allen unterlaufen Ausrutscher und Fehler. Doch die Schuld auf das zu schieben, was Ihr stärkstes Bindeglied und ein wichtiger Teil der Verteidigung einer Organisation sein könnte, ist ebenfalls ein Fehler.
Mitarbeiter sind oft frustriert über die Sicherheitsrichtlinien von Unternehmen und die Hauptaufgaben der meisten Menschen haben im Allgemeinen nichts mit Sicherheit zu tun. Möglicherweise sind sie sich der größeren Auswirkungen ihres Handelns nicht bewusst. Komplexe Richtlinien, die schwer einzuhalten sind, führen lediglich zu riskanten Workarounds im Namen der Produktivität. Es ist wichtig, Sicherheitsrichtlinien zu entwickeln, die für und nicht gegen die Mitarbeiter arbeiten.
Laut Gurucul , der auf der RSA-Konferenz 2019 mehr als 650 IT-Experten befragte, fühlten sich fast 75 % Insider-Bedrohungen ausgesetzt. Dabei standen Benutzerfehler mit 39 % an erster Stelle der Bedenken, gefolgt von böswilligen Insidern (35 %) und Kontokompromittierung (26 %). Darüber hinaus waren nur 34 % der Befragten der Meinung, dass sie Bedrohungen in Echtzeit erkennen könnten. Und 33 % konzentrieren sich darauf, die Insider-Bedrohungen nach dem Vorfall zu erkennen, anstatt sie vorherzusagen, bevor sie auftreten. Schließlich können 40 % überhaupt nicht erkennen, ob Daten das Gebäude verlassen haben.
Laut Critical Infrastructure Technology sind die meisten Cybersicherheitsvorfälle (sowohl vorsätzliche als auch versehentliche) auf Aktionen von Insidern zurückzuführen. Wir haben im Laufe der Jahre viele Vorfälle erlebt, bei denen Benutzer dazu verleitet wurden, auf einen Anhang oder einen betrügerischen Link zu klicken. Phishing ist heutzutage besonders weit verbreitet und hat sich, wie F5 Labs anmerkt, als sehr erfolgreich erwiesen, und stellt mittlerweile den wichtigsten Angriffsvektor dar. Tatsächlich berichtet die Anti-Phishing Working Group, dass Phishing in den letzten 12 Jahren um 5.753 % zugenommen hat. Und F5 Labs stellte fest, dass Phishing in 48 % der untersuchten Fälle von Datenschutzverletzungen die Grundursache war.
Was können Sie tun?
Nun, es gibt sicherlich Technologien, die dazu beitragen können, das Bedrohungspotenzial zu verringern. Der Phishing- und Betrugsbericht 2018 von F5 Labs empfiehlt verschiedene Abwehrmaßnahmen, darunter die Kennzeichnung von E-Mails aus externen Quellen, um die Mitarbeiter zu warnen und ihnen Vorsicht gebieten zu lassen. Technologien wie Virenschutz, Webfilterung und Betrugsschutz, Single Sign-On, Multi-Faktor-Authentifizierung, Bot-Blockierung und sogar die Verwendung von Honey-Tokens – Dummy-Benutzerkonten und E-Mail-Adressen, die überwacht werden können, um zu erkennen, wenn Angreifer pauschale Phishing-E-Mails versenden. Darüber hinaus ist es wichtig, den ein- und ausgehenden Datenverkehr zu entschlüsseln und auf potenzielle verschlüsselte Bedrohungen zu untersuchen. 68 % der Schadsoftware erhält ihre Anweisungen von einem verschlüsselten Befehls- und Kontrollserver.
All diese Maßnahmen können die Angriffsfläche verringern, schließen die Möglichkeit eines Durchschleichens jedoch nicht aus. Social-Engineering-Taktiken gibt es schon seit langer Zeit, schon lange vor dem Internet.
Und hier kommt das Training ins Spiel.
Der Mensch ist ein emotionales Wesen, das sich in Routinen wohlfühlt. Wenn sie es gewohnt sind, auf alles zu klicken, brauchen sie Hilfe bei der Erkennung, was sicher und was gefährlich ist. Daher sind Schulungen zum Sicherheitsbewusstsein von entscheidender Bedeutung. Zumindest sind sie sich dann der Konsequenzen ihres übermäßigen Klickens bewusst und auf die Raffinesse der Angriffe vorbereitet. Benutzer sollten außerdem dringend dazu angehalten werden, verdächtige E-Mails zu melden und sich bei der IT- oder Sicherheitsabteilung zu erkundigen, bevor sie externe Software ausführen oder ihre Anmeldedaten angeben.
Im Phishing- und Betrugsbericht 2018 von F5 Labs wird darauf hingewiesen, dass Tests von Webroot gezeigt haben, dass Mitarbeiter Risiken umso besser erkennen und vermeiden können, je mehr Schulungen zum Sicherheitsbewusstsein durchgeführt werden. Bei denjenigen, die 1 bis 5 Schulungskampagnen durchführten, sank die Phishing-Klickrate um 33 %; bei denjenigen, die 6 bis 10 Kampagnen durchführten, sank die Klickrate auf 28 %; und bei denjenigen, die 11 oder mehr Schulungskampagnen durchführten, reduzierte sich die Rate auf 13 %. Darüber hinaus zeigte sich, dass Phishing-Simulationen und -Kampagnen dann am wirksamsten sind, wenn die Inhalte aktuell und relevant sind. Dies bedeutet, dass Unternehmen, die keine Schulungen zur Sensibilisierung für Sicherheit durchführen, davon ausgehen können, dass ihre Benutzer mindestens bei jedem dritten Phishing-Versuch auf einen Klick klicken. Eine Schulung ist immer günstiger als ein Verstoß.
In Bezug auf die Schulung schlägt F5 Labs vor , dass sie kurz, relevant, persönlich und lösbar sein sollte. Behandeln Sie Sicherheit als ein Problem, das beherrschbar ist, aber nur mit der aktiven und informierten Beteiligung aller Beteiligten. Schulungen zum Sicherheitsbewusstsein sind die beste Möglichkeit, alle Benutzer direkt anzusprechen und sie zum Mitwirken an einem gemeinsamen Anliegen zu ermutigen.
Hier ist eine lustige Idee, die Sie mit Ihren Freunden ausprobieren können. Sagen Sie: „Ich bin Cyberexperte und wenn Sie mir Ihr Passwort sagen, kann ich Ihnen sagen, ob es sicher ist.“ Sehen Sie, wie viele Ihnen eine Antwort geben!